VDS с подключением по VNC - это удаленный компьютер, на котором мы можем оба присутствовать одновременно. У вас будет управление компьютером (мышка, клавиатура), а я в роли зрителя, смогу видеть, что вы делаете, сделать запись с экрана или скриншот.
Не могу же я вам предлагать подключиться к своему компьютеру или просить доступ к вашему компьютеру, чтобы посмотреть, как вы проходите тест. Поэтому удаленный компьютер выбран как сторонняя машина, на которой вы можете демонстративно пройти тест hh и доказать свою правоту.
Все, что вам нужно сделать после подключения к VDS, это:
Пройти этот тест, используя любой ИИ в соседней вкладке. (с вашей суперскоростью это не проблема)
Если вы пройдете тест на сайте hh.ru, используя ИИ, и не получите предупреждение Навык не подтвержден. Зафиксирована подозрительная активность, то это будет означать, что защиты от ИИ на hh нет, т.к. вы прошли тест, используя ИИ.
Проверка chrome://net-internals и chrome://extensions предложена, чтобы вы были уверены, что вашему тесту не помешают никакие посторонние запросы и расширения. Только вы, ваш ИИ и тест hh.ru.
Если вы отказываетесь от теста, то будьте последовательны, не прикидывайтесь веником и завершите этот диалог.
Ок. Слив засчитан. Я давал вам возможность за 5 минут доказать свои слова делом. Увы и ах!
Будь я связан с hh, я не стал бы выкладывать триггеры и запросы с объяснениями.
Обойти защиту hh не сложно. Я не занимался веб безопасностью с 2012 года, но всего за одни сутки спортивного азарта вычислил все явные и скрытые триггеры. Серверные триггеры вычислил, собрав и проанализировав корреляцию более 2-х тысяч запросов на все мои действия. Для клиентских триггеров пришлось читать код. Фальшивые триггеры вычислил тестами. Любой IT-шник, который поставит себе такую цель, сможет обойти эту защиту.
Буду ли я пользоваться обходом? Нет! По моей специальности у меня и так все тесты пройдены самостоятельно. Мой интерес заключался только в том, чтобы обойти защиту.
Не стоит бросаться словами, когда ваши утверждения легко проверить. Ведь достаточно зайти на hh, открыть тест и пару раз сменить вкладку с тестом, и обнаружить, что заявление на hh нет никакой защиты НЕ true.
Ваше утверждение, что вы быстро прыгали между вкладками, не выдерживает критики, потому что window.focus и window.blur, которые отслеживают смену вкладки, достаточно одного клика мыши, чтобы выполниться, поменять document.hidden на true и записать это событие в хранилище.
Запрет на ИИ преодолён, значит защиты нет, значит найдёный вами код её не предоставляет.
Риторический вопрос: как вы преодолели запрет на ИИ, если по вашим же словам, никакого запрета нет*?
Есть большая разница между вашим первоначальным утверждением "нет никакой защиты" (отсутствие защиты) и последующим "Запрет на ИИ преодолён" (возможность обойти защиту) .
Предлагаю простой эксперимент для решения нашей дискуссии, взаимно верифицируемый, и надеюсь, вы не откажитесь уделить на это 5 минут вашего времени.
1. Я создам VDS, с подключением по VNC - дам вам доступы к машине в предварительно оговоренный вами момент, - при вас установлю чистый браузер, - сделаю тестовый аккаунт для hh. - и стану просто наблюдателем.
2. Вы подключаетесь, - проверяете, что браузер - только что установленный Chrome из официального репозитория, - проверяете chrome://net-internals и chrome://extensions - открываете вкладку с любым тестом hh, отвечаете на все вопросы теста, используя ИИ в соседней вкладке, и получите результат "Тест пройден". И тем самым докажите, что антифрод на hh не существует.
Если у вас есть более лучшие варианты, как выяснить истину, я открыт к диалогу.
да, и проходится с помощью ИИ легко. я как раз прошёл с GPT базовый по Java, инетерсно было получится или нет, тем более ХХ пишут что у них защита от ИИ :) нет никакой защиты.
Вы отстали на пару месяцев. Новая антифрод система в тестах есть, не 100%-ная, но достаточно хорошая, отслеживается много чего, например:
смена и уход с вкладки window.blur,
событие copy, копирования текста
время ухода с вкладки (duration),
потеря фокуса с вкладки window.focus,
видимость и скрытие документа document.hidden = false,
fallback-поллинг через setInterval для проверки document.hidden,
изменения размеров окна resize,
так же heartbeat каждые 20 секунд, с проверкой все ли нормально.
проверяется блокировка конкретных запросов с отчетом о событии, для этого время от времени шлют фальшивые запросы.
Любое несооветствие детектится и прохождение теста считается подозрительным. Не знаю сколько там триггеров, я вычислил 11, и все еще какие то неизвестные триггеры срабатывают. Пока еще не понял, то ли это триггеры события, то ли триггеры алгоритма действий.
Я: Разве VPN спасал от Fingerprint ? Вы: Используя VPN, вы с большей вероятностью будуте подвержены фингерпринтингу. Я:Почему пользователь, использующий VPN с большей вероятностью будут подвержен фингерпринтинту? Вы:Если пользователь это потенциальный скаммер, то нужно произвести усиленные проверки безопасности, в том числе провести фингерпринтинг.
А причем тут потенциальный скаммер? Мы говорим о среднестатистическом пользователе VPN. Когда 16 лет назад я произносил слово VPN, меня понимали только 2-3 человека, а сегодня даже мой 4-летний сын с аутизмом сам заходит в PlayMarket и скачивает новый vpn, когда у него не работает youtube. VPN перестал быть инструментом только для скамеров и проф-пользователей. Давайте сегодня будем говорит о сегодняшних реалиях, в котором как минимум 80% пользователей VPN - это не скамеры.
Я:Как система безопасности отличает пользователя с ЛИЧНЫМ VPN с шведским (провайдерским) IP от пользователя находящего в Швеции? Вы: На любом сайте с информацией об IP вы можете посмотреть, является ли IP резидентским, или принадлежит датацентру.
Я почему-то выделил в своем вопросе ЛИЧНЫЙ и в скобках указал (провайдерский). Привожу конкретные примеры в вопросах, вы отвечаете общими фразами, игнорируя условия вопроса. Да и многие провайдеры (Mullvad, Proton, iVPN и т.д.) специально дают residential-like IP, которые очень сложно отличить от обычных домашних.
Ваша аргументация "VPN = подозрительно" устарела лет на 10 минимум. И ответ на мой вопрос №3 с учетом озвученных условий = Никак!
Перечитал ваш ответ несколько раз, пытаясь понять, каким образом он связан с моим вопросом. А он связан с моим вопросом?
Не согласен с вашим утверждением и его связностью. Возможно, вы путаете публичные и личные VPN. А возможно, я просто не понимаю вас, и буду рад, если вы подробно объясните:
1. Почему пользователь, использующий VPN с большей вероятностью будут подвержен фингерпринтинту? (особенно сейчас, когда половина мира сидит под VPN) 2. Почему использование VPN - это звоночек для систем безопасности ? Имеется ввиду VPN без наличия ip в Spamhaus, IPinfo и тд. 3. Как система безопасности отличает пользователя с ЛИЧНЫМ VPN с шведским (провайдерским) IP от пользователя находящего в Швеции? 4. Почему использование личного VPN может привести к усилению мер безопасности ? 5. Суть капчи в том, чтобы отсечь автоматические скрипты и боты, а суть фингерпринта в том, чтобы отличить одного пользователя от другого (без идентификации). Как прохождение капчи и fingerprint связаны с мерами безопасности?
M_Script, знакомое, но не могу вспомнить точно, это модер какой-то был на античате или вроде того?
Он. Тихий модер раздела "Социальные сети" и... один из лучших исследователей веб-безопасности в RU секторе, создатель уникальных векторов атак и авторских 0-day.
Объясните, что за дыра? Без шуток, реально не понимаю.
Вы задали вопрос, чтобы начать спорить или получить ответ?)
Способ, который позволяет залезть в голову пользователю в среде, которую контролирует разработчик - это дыра, которую разработчик не закрыл. Один только Google столько всего придумал против фишинга, что многие способы залезть в голову пользователю google, казавшиея вечными, перестали работать. Проблемы с фишинговыми ссылками решались по разному, например, варианты навскидку: 1. Подгрузка сайта по ссылке в небольшом фрейме в самом сообщении с переходом по всем редиректам вполне себе покажет, как выглядит конечная точка, без необходимости клика по ссылке. 2. Любая ссылка в мессенджере открывается только через промежуточный прокси адрес, вроде checklink.max.ru, который на 2-3 секунды задержит открытие ссылки, но предварительно проверит безопасность ссылки. 3.1 Проверять домен из ссылки на давность регистрации, указывая у новых доменов, что он зарегистрирован недавно. 3.2 Автоматически проверять ссылки на наличие редиректа, будь то редирект Location, или другой редирект, и помечать такие ссылки как сомнительные. 4. При запросе токена на авторизацию, проверять наличие и время активной сессии в момент запроса токена, и если активная сессия присутствует и время соответствует моменту отправки запроса, слать сообщение на номер телефона с уведомлением вроде, что пользователь уже авторизован в устройстве iPhone, и вводить код только в том случае, если пользователь пытается авторизоваться в другом устройстве. Что то в этом роде.
Это дыра? - Да. Ее можно закрыть? - Да. Дыра критичная? - Да, если судить по последствиям для жертвы. Нет, если судить по масштабу урона для Макса.
ps. Надеюсь, вы не Великий M_Script. Стиль письма похож.
Кстати, они там миллионы потому и зарабатывают, потому что это легко. Как только становится тяжело зарабатывать миллионы в одной сфере, то они бросают эту сферу и переходят в ту сферу, где все еще легко зарабатывать миллионы. У них нет цели тратить тыщу в месяц, если это не окупается в десятки раз. А меньшая окупаемость в этой сфере невыгодна.
Объясните, что за дыра? Без шуток, реально не понимаю.
Нет проверки Origin / Referer на /api/send-code
Нет привязки выпущенной SMS-сессии к идентичности устройства, инициировавшего ввод
Нет серверного rate-limit’а по характеру источника
Нет push-подтверждения в активные сессии пользователя при попытке нового входа
Автор с пояснениями написал про эти уязвимости и как их закрыть.
Пояснение пункта 1 на практике.
На https://auth.mail.ru/cgi-bin/auth?mac=1 была такая уязвимость, что подключив этот адрес на своем сайте через <script src>, можно было получить данные авторизованного пользователя. Т.е. владелец сайта мог узнать настоящие почтовые ящики того, кто посетил его сайт, и что самое критичное, для сбора данных даже нет нужды заманивать человека на свой сайт, достаточно написать кому то сообщение (на форумах, соц сетях и тд), указав в сообщении <img src> с указанием ссылки на свой сайт, а на самом сайте править htaccess AddType application/x-httpd-php52 .jpg
Польза зависит от фантазии. Такая же уязвимость была и на yandex, сейчас не помню api адреса яндекса.
Mail.ru исправил уязвимость тем, что начал проверять Origin / Referer, и этого хватило, чтобы "закрыть" уязвимость, т.к. js не умеет отправлять Referer. Обходится с некоторыми усилиями через протокол data:.
С Кивимяки смущает момент, что оплата за аренду всех этих машин шла с личной банковской карты Кивимяки. Хранить компромат на себя на сервере, который оплатил с личной банковской карты - это странно для профи.
Вместе с 10,9 гигабайтами данных пациентов в сеть утекло кое-что ещё — домашний каталог пользователя с сервера, с которого велась публикация. Оплата за аренду всех этих машин шла с личной банковской карты Кивимяки.
Был такой персонаж Карим Баратов, известный на форумах 2010-2012 гг (античат, ксакеп и тд) тем, что задолбал всех.
Профессиональный, 14-летний скрипт кидди. Использовал фишинговые страницы, скачанные с форумов, не умея их даже переписать под себя.
Впервые с ним столкнулся, когда он обратился в 2009 году с просьбой починить простой скрипт js и предложил за это 200$. Ща не помню точно, но вроде javascript открывал фрейм на весь экран с z-index: 10000. Всего 4-5 строк кода и такая щедрая оплата. Клиент запомнился.
После он несколько раз попытался взломать мою почту, присылая мне фишинговые письма, но потом сдался, когда я поменял пароли на его почте, в ответ на его письма.
Пояснение: размещенные на форумах фишинговые скрипты по умолчанию сохраняли пароли в base.txt, и любой фишинговый сайт Карима сохранял пароли в этот же файл. И самое тупое, что Карим Баратов всегда проверял свои фишинговые страницы на своих же почтовых ящиках, и поэтому, если Карим прислал вам фишинговое письмо с сайтом rnail.ru/login.php (не MAIL.RU, а RNAIL.RU), то зная, что Карим в коде не разбирается вовсе и открыв страницу rnail.ru/base.txt, вы получали доступы к почтовым ящикам самого Карима, на которых он предварительно тестировал этот фишинговый домен.
Алгоритм действий у него был простой: 1. заплати сео, чтобы несколько твоих сайтов по запросу "взлом почты на заказ" были на первом месте в гугл, и получи клиентов на свои услуги. 2. сделай рассылку фишинговых писем на почтовые ящики жертв, которых заказали клиенты. 3. если фишинговые письма не сработали в течении 1-2 недель, сделай еще одну рассылку, но уже на почтовые ящики клиентов, с угрозой, чтобы если они не заплатят, то ты раскроешь жертвам или полиции информацию о том, что клиент их заказал, с якобы подробной информацией о клиенте. - Итого, ему платили или за взлом, или за нераскрытие информации жертве.
Позже он купил у кого-то ботнет, и шантажировал всех ДДОС атакой.
Энергичный и богатый Буратино. Все покупал. Ни от кого не скрывался. Жил в Канаде. Публиковал свои фотографии, даже домены для фишинговых сайтов брал на свое имя или на имя своего отца.
А через несколько лет услышал про него в новостях. Его арестовали в Канаде, и внезапно, он стал известен как Хакер Карим Баратов. Возможно, что Кивимяки такой же хакер, как Карим Баратов.
Лет 10 назад бумажные самоучители были настольными книгами. Потом их заменил электронными версиями.
Сейчас в столе лежат бумажные книги по git, laravel, паттернам ООП, которые собирают пыль.
На компе папка "Библиотека IT" (806 книг на 10 гб, и 380 видео уроков на 90 гб). Редко открываю эту папку, 1 раз в год, когда больше суток нет интернета.
LLM (с определенными настройками) заменил книжных и ютуб учителей.
Например, в Qwen диалоги распределены по группам и темам. Зашел в нужный диалог, прочел/вспомнил нужную деталь. Если что непонятно, спросил/уточнил. В каждом диалоге только вопросы/ответы по теме диалога. Как глава книги, только с подробностями и примерами. В диалоге про Git не спрашиваем о Javascript, и не захламляем диалог.
Итого - это та же самая онлайн книга, только в этой книге можно задавать уточняющие вопросы до тех пор, пока не поймешь тему вопроса.
Электронная книга проиграла эту битву. Бумажные книги станут "актуальными", если РКН продолжит свою вакханалию и вконец угробит интернет. Только без интернета, бумажные книги про IT станут такими же полезными, как справочники по феям и драконам.
ilapinsky, скопировал все ваши сообщения и отправил разным ИИ с просьбой составить психологический портрет автора на основе комментариев, без лести и критики, было интересно почитать.
Завершающий штрих от Qwen:
Кстати, для сравнения, сделал ровно то же самое со своими сообщениями, и Qwen точно определил, чем я занимаюсь и какие возможные события привели к моему текущему мышлению.
Разговор окончен.
Делаем непредвзятые выводы и расходимся.
https://www.kimi.com/share/19e98ee7-e842-89d7-8000-0000bc1cf179
https://chat.qwen.ai/s/ee08d1fe-7176-4511-a7bf-4219ac5e5c4a?fev=0.2.63
https://chat.deepseek.com/share/lwkboxsh76liq604ub
Хороших выходных вам!
VDS с подключением по VNC - это удаленный компьютер, на котором мы можем оба присутствовать одновременно. У вас будет управление компьютером (мышка, клавиатура), а я в роли зрителя, смогу видеть, что вы делаете, сделать запись с экрана или скриншот.
Не могу же я вам предлагать подключиться к своему компьютеру или просить доступ к вашему компьютеру, чтобы посмотреть, как вы проходите тест. Поэтому удаленный компьютер выбран как сторонняя машина, на которой вы можете демонстративно пройти тест hh и доказать свою правоту.
Все, что вам нужно сделать после подключения к VDS, это:
На удаленном компьютере открыть в браузере сайт https://hh.ru/applicant/skill_verifications/methods
Запустить в браузере любой тест hh.ru
Пройти этот тест, используя любой ИИ в соседней вкладке. (с вашей суперскоростью это не проблема)
Если вы пройдете тест на сайте hh.ru, используя ИИ, и не получите предупреждение
Навык не подтвержден. Зафиксирована подозрительная активность, то это будет означать, что защиты от ИИ на hh нет, т.к. вы прошли тест, используя ИИ.Проверка chrome://net-internals и chrome://extensions предложена, чтобы вы были уверены, что вашему тесту не помешают никакие посторонние запросы и расширения.
Только вы, ваш ИИ и тест hh.ru.
Если вы отказываетесь от теста, то будьте последовательны, не прикидывайтесь веником и завершите этот диалог.
Ок. Слив засчитан.
Я давал вам возможность за 5 минут доказать свои слова делом. Увы и ах!
Будь я связан с hh, я не стал бы выкладывать триггеры и запросы с объяснениями.
Обойти защиту hh не сложно. Я не занимался веб безопасностью с 2012 года, но всего за одни сутки спортивного азарта вычислил все явные и скрытые триггеры. Серверные триггеры вычислил, собрав и проанализировав корреляцию более 2-х тысяч запросов на все мои действия. Для клиентских триггеров пришлось читать код. Фальшивые триггеры вычислил тестами.
Любой IT-шник, который поставит себе такую цель, сможет обойти эту защиту.
Буду ли я пользоваться обходом? Нет!
По моей специальности у меня и так все тесты пройдены самостоятельно. Мой интерес заключался только в том, чтобы обойти защиту.
Не стоит бросаться словами, когда ваши утверждения легко проверить. Ведь достаточно зайти на hh, открыть тест и пару раз сменить вкладку с тестом, и обнаружить, что заявление
на hh нет никакой защитыНЕtrue.Ваше утверждение, что вы быстро прыгали между вкладками, не выдерживает критики, потому что
window.focusиwindow.blur, которые отслеживают смену вкладки, достаточно одного клика мыши, чтобы выполниться, поменять document.hidden на true и записать это событие в хранилище.Желаю вам хороших выходных!
Риторический вопрос: как вы преодолели запрет на ИИ, если по вашим же словам, никакого запрета нет*?
Есть большая разница между вашим первоначальным утверждением "нет никакой защиты" (отсутствие защиты) и последующим "Запрет на ИИ преодолён" (возможность обойти защиту) .
Предлагаю простой эксперимент для решения нашей дискуссии, взаимно верифицируемый, и надеюсь, вы не откажитесь уделить на это 5 минут вашего времени.
1. Я создам VDS, с подключением по VNC
- дам вам доступы к машине в предварительно оговоренный вами момент,
- при вас установлю чистый браузер,
- сделаю тестовый аккаунт для hh.
- и стану просто наблюдателем.
2. Вы подключаетесь,
- проверяете, что браузер - только что установленный Chrome из официального репозитория,
- проверяете chrome://net-internals и chrome://extensions
- открываете вкладку с любым тестом hh, отвечаете на все вопросы теста, используя ИИ в соседней вкладке, и получите результат "
Тест пройден".И тем самым докажите, что антифрод на hh не существует.
Если у вас есть более лучшие варианты, как выяснить истину, я открыт к диалогу.
Вы хотите сказать, что у всех антифрод работает, а конкретно в вашем случае, антифрод не работает?
Интересно, почему же?
Эти же запросы развернуто.
Результат:
Вы отстали на пару месяцев. Новая антифрод система в тестах есть, не 100%-ная, но достаточно хорошая, отслеживается много чего, например:
смена и уход с вкладки
window.blur,событие
copy, копирования текставремя ухода с вкладки (
duration),потеря фокуса с вкладки
window.focus,видимость и скрытие документа
document.hidden = false,fallback-поллинг через
setIntervalдля проверкиdocument.hidden,изменения размеров окна
resize,так же
heartbeatкаждые 20 секунд, с проверкой все ли нормально.проверяется блокировка конкретных запросов с отчетом о событии, для этого время от времени шлют фальшивые запросы.
Любое несооветствие детектится и прохождение теста считается подозрительным. Не знаю сколько там триггеров, я вычислил 11, и все еще какие то неизвестные триггеры срабатывают. Пока еще не понял, то ли это триггеры события, то ли триггеры алгоритма действий.
О, Боже, неужели фишинг ‽
Никогда такого не было, и вот опять!
Наш диалог выглядит так:
Я: Разве VPN спасал от Fingerprint ?
Вы: Используя VPN, вы с большей вероятностью будуте подвержены фингерпринтингу.
Я: Почему пользователь, использующий VPN с большей вероятностью будут подвержен фингерпринтинту?
Вы: Если пользователь это потенциальный скаммер, то нужно произвести усиленные проверки безопасности, в том числе провести фингерпринтинг.
А причем тут потенциальный скаммер? Мы говорим о среднестатистическом пользователе VPN.
Когда 16 лет назад я произносил слово VPN, меня понимали только 2-3 человека, а сегодня даже мой 4-летний сын с аутизмом сам заходит в PlayMarket и скачивает новый vpn, когда у него не работает youtube. VPN перестал быть инструментом только для скамеров и проф-пользователей.
Давайте сегодня будем говорит о сегодняшних реалиях, в котором как минимум 80% пользователей VPN - это не скамеры.
Я: Как система безопасности отличает пользователя с ЛИЧНЫМ VPN с шведским (провайдерским) IP от пользователя находящего в Швеции?
Вы: На любом сайте с информацией об IP вы можете посмотреть, является ли IP резидентским, или принадлежит датацентру.
Я почему-то выделил в своем вопросе ЛИЧНЫЙ и в скобках указал (провайдерский). Привожу конкретные примеры в вопросах, вы отвечаете общими фразами, игнорируя условия вопроса. Да и многие провайдеры (Mullvad, Proton, iVPN и т.д.) специально дают residential-like IP, которые очень сложно отличить от обычных домашних.
Ваша аргументация "VPN = подозрительно" устарела лет на 10 минимум.
И ответ на мой вопрос №3 с учетом озвученных условий = Никак!
Перечитал ваш ответ несколько раз, пытаясь понять, каким образом он связан с моим вопросом. А он связан с моим вопросом?
Не согласен с вашим утверждением и его связностью. Возможно, вы путаете публичные и личные VPN. А возможно, я просто не понимаю вас, и буду рад, если вы подробно объясните:
1. Почему пользователь, использующий VPN с большей вероятностью будут подвержен фингерпринтинту? (особенно сейчас, когда половина мира сидит под VPN)
2. Почему использование VPN - это звоночек для систем безопасности ? Имеется ввиду VPN без наличия ip в Spamhaus, IPinfo и тд.
3. Как система безопасности отличает пользователя с ЛИЧНЫМ VPN с шведским (провайдерским) IP от пользователя находящего в Швеции?
4. Почему использование личного VPN может привести к усилению мер безопасности ?
5. Суть капчи в том, чтобы отсечь автоматические скрипты и боты, а суть фингерпринта в том, чтобы отличить одного пользователя от другого (без идентификации). Как прохождение капчи и fingerprint связаны с мерами безопасности?
А зачем в названии статьи "почему VPN БОЛЬШЕ не спасает" ?
Разве VPN спасал от Fingerprint ?
Он. Тихий модер раздела "Социальные сети" и... один из лучших исследователей веб-безопасности в RU секторе, создатель уникальных векторов атак и авторских 0-day.
Вы задали вопрос, чтобы начать спорить или получить ответ?)
Способ, который позволяет залезть в голову пользователю в среде, которую контролирует разработчик - это дыра, которую разработчик не закрыл. Один только Google столько всего придумал против фишинга, что многие способы залезть в голову пользователю google, казавшиея вечными, перестали работать.
Проблемы с фишинговыми ссылками решались по разному, например, варианты навскидку:
1. Подгрузка сайта по ссылке в небольшом фрейме в самом сообщении с переходом по всем редиректам вполне себе покажет, как выглядит конечная точка, без необходимости клика по ссылке.
2. Любая ссылка в мессенджере открывается только через промежуточный прокси адрес, вроде checklink.max.ru, который на 2-3 секунды задержит открытие ссылки, но предварительно проверит безопасность ссылки.
3.1 Проверять домен из ссылки на давность регистрации, указывая у новых доменов, что он зарегистрирован недавно.
3.2 Автоматически проверять ссылки на наличие редиректа, будь то редирект Location, или другой редирект, и помечать такие ссылки как сомнительные.
4. При запросе токена на авторизацию, проверять наличие и время активной сессии в момент запроса токена, и если активная сессия присутствует и время соответствует моменту отправки запроса, слать сообщение на номер телефона с уведомлением вроде, что пользователь уже авторизован в устройстве iPhone, и вводить код только в том случае, если пользователь пытается авторизоваться в другом устройстве. Что то в этом роде.
Это дыра? - Да.
Ее можно закрыть? - Да.
Дыра критичная? - Да, если судить по последствиям для жертвы. Нет, если судить по масштабу урона для Макса.
ps. Надеюсь, вы не Великий M_Script. Стиль письма похож.
Кстати, они там миллионы потому и зарабатывают, потому что это легко. Как только становится тяжело зарабатывать миллионы в одной сфере, то они бросают эту сферу и переходят в ту сферу, где все еще легко зарабатывать миллионы. У них нет цели тратить тыщу в месяц, если это не окупается в десятки раз. А меньшая окупаемость в этой сфере невыгодна.
Нет проверки Origin / Referer на /api/send-code
Нет привязки выпущенной SMS-сессии к идентичности устройства, инициировавшего ввод
Нет серверного rate-limit’а по характеру источника
Нет push-подтверждения в активные сессии пользователя при попытке нового входа
Автор с пояснениями написал про эти уязвимости и как их закрыть.
Пояснение пункта 1 на практике.
На https://auth.mail.ru/cgi-bin/auth?mac=1 была такая уязвимость, что подключив этот адрес на своем сайте через <script src>, можно было получить данные авторизованного пользователя. Т.е. владелец сайта мог узнать настоящие почтовые ящики того, кто посетил его сайт, и что самое критичное, для сбора данных даже нет нужды заманивать человека на свой сайт, достаточно написать кому то сообщение (на форумах, соц сетях и тд), указав в сообщении <img src> с указанием ссылки на свой сайт, а на самом сайте править htaccess
AddType application/x-httpd-php52 .jpgПольза зависит от фантазии.
Такая же уязвимость была и на yandex, сейчас не помню api адреса яндекса.
Mail.ru исправил уязвимость тем, что начал проверять Origin / Referer, и этого хватило, чтобы "закрыть" уязвимость, т.к. js не умеет отправлять Referer. Обходится с некоторыми усилиями через протокол
data:.Попробуй хоть что нибудь вытянуть в беседе с любой китайской моделю про события 1989 года на площади Тяньаньмэнь :)
В новостях Баратов выглядит очень крутым.
С Кивимяки смущает момент, что оплата за аренду всех этих машин шла с личной банковской карты Кивимяки. Хранить компромат на себя на сервере, который оплатил с личной банковской карты - это странно для профи.
Был такой персонаж Карим Баратов, известный на форумах 2010-2012 гг (античат, ксакеп и тд) тем, что задолбал всех.
Профессиональный, 14-летний скрипт кидди. Использовал фишинговые страницы, скачанные с форумов, не умея их даже переписать под себя.
Впервые с ним столкнулся, когда он обратился в 2009 году с просьбой починить простой скрипт js и предложил за это 200$. Ща не помню точно, но вроде javascript открывал фрейм на весь экран с z-index: 10000.
Всего 4-5 строк кода и такая щедрая оплата. Клиент запомнился.
После он несколько раз попытался взломать мою почту, присылая мне фишинговые письма, но потом сдался, когда я поменял пароли на его почте, в ответ на его письма.
Пояснение: размещенные на форумах фишинговые скрипты по умолчанию сохраняли пароли в base.txt, и любой фишинговый сайт Карима сохранял пароли в этот же файл. И самое тупое, что Карим Баратов всегда проверял свои фишинговые страницы на своих же почтовых ящиках, и поэтому, если Карим прислал вам фишинговое письмо с сайтом rnail.ru/login.php (не MAIL.RU, а RNAIL.RU), то зная, что Карим в коде не разбирается вовсе и открыв страницу rnail.ru/base.txt, вы получали доступы к почтовым ящикам самого Карима, на которых он предварительно тестировал этот фишинговый домен.
Алгоритм действий у него был простой:
1. заплати сео, чтобы несколько твоих сайтов по запросу "взлом почты на заказ" были на первом месте в гугл, и получи клиентов на свои услуги.
2. сделай рассылку фишинговых писем на почтовые ящики жертв, которых заказали клиенты.
3. если фишинговые письма не сработали в течении 1-2 недель, сделай еще одну рассылку, но уже на почтовые ящики клиентов, с угрозой, чтобы если они не заплатят, то ты раскроешь жертвам или полиции информацию о том, что клиент их заказал, с якобы подробной информацией о клиенте.
- Итого, ему платили или за взлом, или за нераскрытие информации жертве.
Позже он купил у кого-то ботнет, и шантажировал всех ДДОС атакой.
Энергичный и богатый Буратино. Все покупал. Ни от кого не скрывался. Жил в Канаде. Публиковал свои фотографии, даже домены для фишинговых сайтов брал на свое имя или на имя своего отца.
А через несколько лет услышал про него в новостях. Его арестовали в Канаде, и внезапно, он стал известен как Хакер Карим Баратов.
Возможно, что Кивимяки такой же хакер, как Карим Баратов.
Лет 10 назад бумажные самоучители были настольными книгами. Потом их заменил электронными версиями.
Сейчас в столе лежат бумажные книги по git, laravel, паттернам ООП, которые собирают пыль.
На компе папка "Библиотека IT" (806 книг на 10 гб, и 380 видео уроков на 90 гб). Редко открываю эту папку, 1 раз в год, когда больше суток нет интернета.
LLM (с определенными настройками) заменил книжных и ютуб учителей.
Например, в Qwen диалоги распределены по группам и темам. Зашел в нужный диалог, прочел/вспомнил нужную деталь. Если что непонятно, спросил/уточнил. В каждом диалоге только вопросы/ответы по теме диалога. Как глава книги, только с подробностями и примерами. В диалоге про Git не спрашиваем о Javascript, и не захламляем диалог.
Итого - это та же самая онлайн книга, только в этой книге можно задавать уточняющие вопросы до тех пор, пока не поймешь тему вопроса.
Электронная книга проиграла эту битву.
Бумажные книги станут "актуальными", если РКН продолжит свою вакханалию и вконец угробит интернет. Только без интернета, бумажные книги про IT станут такими же полезными, как справочники по феям и драконам.
ilapinsky, скопировал все ваши сообщения и отправил разным ИИ с просьбой составить психологический портрет автора на основе комментариев, без лести и критики, было интересно почитать.
Завершающий штрих от Qwen:
Кстати, для сравнения, сделал ровно то же самое со своими сообщениями, и Qwen точно определил, чем я занимаюсь и какие возможные события привели к моему текущему мышлению.
Это про меня.